Томас Уайт (Thomas White), управляющий кластером из 15 выходных узлов сети Tor, предупредил сообщество о потере контроля над своей серверной инфраструктурой и блокировке учётной записи хостинг-провайдером. В один прекрасный момент все его серверы, размещённые у одного провайдера, перестали отвечать на запросы. Позднее некоторые из серверов были включены, но оказались недоступны по сети. В настоящее время все обслуживаемые кластером выходящие узлы выведены из сети Tor и до окончания разбирательства помещены в черный список. На серверах также размещались зеркала некоторых скрытых сервисов Tor, которые были запущены в отдельных виртуальных машинах. Судя по имеющимся логам, непосредственно перед выключением было зафиксировано подключение к серверам … Читать далее Потерян контроль над кластером из 15 выходных узлов Tor

Пол-Хенинг Камп (Poul-Henning Kamp), один из известных разработчиков FreeBSD, участвовавший в создании таких систем, как MD5crypt, GEOM, GBDE и FreeBSD Jail, по совместительству являющийся администратором одного из NTP-серверов первого уровня, представил предварительный выпуск нового свободного сервера синхронизации точного времени Ntimed. Код распространяется под лицензией BSD и проверен в FreeBSD/amd64 и Debian/armv7l. Первый пригодный для промышленного использования выпуск Ntimed намечен на первый квартал 2015 года. Харлан Стин (Harlan Steen), основатель организации Network Time Foundation, курирующей развитие NTPD и PTPd, выразил готовность принять проект под своё крыло и развивать его параллельно с NTPD. Отмечается, что разработка нового NTP-сервера выполнена на средства, выделенные … Читать далее Представлен NTP-сервер Ntimed, который будет развиваться параллельно с NTPD

Представлен выпуск проекта Tribler 6.4, в рамках которого развивается BitTorrent-клиент, который может быть использован для создания самодостаточной децентрализованной BitTorrent-сети, использующей p2p-коммуникации для прямого взаимодействия клиентов без применения централизованных звеньев. В частности, Tribler позволяет построить сеть без развёртывания отдельных BitTorrent-трекеров и осуществляет поиск, адресацию и загрузку торрентов путём прямого взаимодействия клиентов между собой. Код Tribler написан на языке Python и распространяется под лицензией LGPLv2.1+. Установочные пакеты доступны для Ubuntu, ArchLinux, OS X, Windows и FreeBSD. Новый выпуск примечателен тестированием средств для анонимизации пользователей в сети, что в сочетании с P2P-коммуникациями позволяет построить сеть с анонимными участниками, которых невозможно отследить. Такой подход … Читать далее Выпуск децентрализованной торрент-системы Tribler 6.4 с поддержкой анонимизации

Доступен релиз MVC (Model-View-Controller) web-фреймворка Ruby on Rails 4.2. Отмечается, что версия 4.2 будет последним значительным выпуском серии 4.x, следующим выйдет Rails 5.0. Основные новшества: Добавлен фреймворк Active Job, предоставляющий унифицированный программный интерфейс, работающий поверх систем организации работы очередей, таких как Resque, Delayed Job и Sidekiq; В Action Mailer добавлен метод deliver_later, позволяющий отправить сообщение в асинхронном режиме по мере освобождения очереди отправляемых сообщений без блокирования текущего обработчика; Представлен Adequate Record, набор улучшений к Active Record, позволяющий до двух раз увеличить производительность операций поиска (вызовы find и find_by), за счёт кэширования типовых SQL-запросов; Включение компонента Web Console, обеспечивающего вывод интерактивной … Читать далее Релиз web-фреймворка Ruby on Rails 4.2

Брендон Филипс (Brandon Philips), технический директор компании CoreOS Inc, развивающей основанное на идеях контейнерной изоляции серверное окружение CoreOS, выступил с предложением ухода от использования по умолчанию файловой системы Btrfs в пользу связки из Ext4 и многослойной файловой системы OverlayFS. В качестве причины прекращения использования по умолчанию Btrfs упоминается периодическое поступление от пользователей жалоб о работе Btrfs, в том числе об ошибках при исчерпании свободного дискового пространства, требующих ручного вмешательства проблемах с ребалансировкой метаданных и низкой производительности, по сравнению с другими ФС. Выбор в пользу OverlayFS обусловлен более высокой производительностью, простотой реализации и появлением данной ФС в составе штатного ядра Linux … Читать далее Проект CoreOS рассматривает возможность ухода от использования Btrfs

Европейский фонд свободного ПО сообщил, что в утверждённом Европарламентом бюджете на 2015 год, миллион евро выделен на проведение аудита свободного ПО, используемого в правительственных учреждениях Евросоюза. В рамках аудита планируется провести работу по выявлению и устранению возможных уязвимостей. Половина выделенной суммы будет потрачена на анализ корректности работы используемых открытых средств для создания шифрованных каналов связи. Читать далее Евросоюз выделит миллион евро на аудит безопасности свободного ПО

Представлен новый стабильный релиз интерфейса для упрощения настройки параметров сети — NetworkManager 1.0, который подвёл итог десяти лет существования проекта. Одновременно опубликованы новые выпуски плагинов для поддержки VPN, OpenConnect, PPTP, OpenVPN и OpenSWAN, а также апплет с реализацией индикатора для панели GNOME. Ключевые новшества NetworkManager 1.0: Подготовлена новая клиентская библиотека libnm, предоставляющая программный интерфейс на основе GObject. Библиотека полностью переписана и объединена с ранее обособленными libnm-util и libnm-glib. API упрощён и переведён на использование современных интерфейсов GLib, таких как GDBus (вместо dbus-glib) и асинхронный API в стиле GIO. Информация в новом API, такая как IP-адреса, маршруты и другие свойства соединения, … Читать далее Релиз сетевого конфигуратора NetworkManager 1.0

Разработчики анонимной сети Tor получили информацию о готовящейся крупной атаке, в результате которой сеть может оказаться неработоспособной. Атака нацелена на вывод из строя заранее определённых в конфигурации (блок authorities) серверов директорий Tor, которые являются точками подключения к сети, отвечают за аутентификацию и передачу пользователю списка шлюзов, обрабатывающих трафик. В настоящее время насчитывается 10 серверов директорий (Directory Authority — DA), которые размещены в разных странах (4 в США, 2 в Германии, 2 в Голландии, 1 в Австрии, 1 в Швеции). Теоретически, их можно вывести из строя массированной DDoS-атакой или физическим отключением серверов по инициативе спецслужб, что приведёт к невозможности пользователю подключиться … Читать далее Предупреждение о возможной атаке по выводу из строя анонимной сети Tor

Доступны корректирующие выпуски языка программирования PHP — 5.6.4, 5.5.20 и 5.4.36, в которых устранены две уязвимости в коде распаковки сериализированных данных. Первая проблема (CVE-2014-8142) может привести к разыменованию указателя NULL и краху интерпретатора. Вторая уязвимость вызвана обращением к уже освобождённому блоку данных (Use after free) и теоретически может быть использована для выполнения кода атакующего при обработке функцией unserialize() специально оформленных внешних данных. Кроме того, в выпуске 5.6.4 исправлено 26 ошибок. Читать далее Обновление PHP 5.6.4, 5.4.36 и 5.5.20 с устранением уязвимостей

Компания Alert Logic сообщила о выявлении критической уязвимости в Linux, позволяющей локальному пользователю выполнить некоторые команды с правами root. Уязвимости даже было присвоено отдельное имя «Grinch», и она была причислена к категории таких сверхопасных проблем, как Shellshock, Heartbleed и POODLE. Некоторые издания подхватили эту информацию и распространили данные о появлении опасной проблемы, затрагивающей фундаментальные основы организации авторизации пользователей в Linux. Компания Red Hat поспешила успокоить пользователей, так как, на деле, «Grinch» не относится к категории уязвимостей и даже не является ошибкой, а представляет собой штатную возможность консольного клиента PackageKit (pkcon). Пользователи, добавленные в группу «wheel», рассматриваются как администраторы локальной системы, … Читать далее Уязвимость Grinch оказалась штатной возможностью дистрибутивов Linux

Опубликован первый публичный выпуск web-браузера Gngr, нацеленного на предоставление максимальной защиты персональной информации пользователей. Исходные тексты нового браузера, как и обещали разработчики, несколько часов назад опубликованы на GitHub под лицензией GPLv2. Код браузера развивается на высокоуровневом языке Java, что позволяет упростить аудит, а также избежать многих ошибок и проблем с безопасностью, свойственных продуктам на С/C++. Первый выпуск позиционируется как рабочий прототип продукта, находящегося на ранней стадии своего развития. Браузер пока не подходит для регулярного использования и корректно работает не со всеми сайтами. В коде пока не реализованы средства изоляции, поэтому при запуске браузера следует использовать внешние механизмы защиты на уровне … Читать далее Первый выпуск и открытие кода web-браузера Gngr

В демоне синхронизации точного времени ntpd 4.2.8 устранены критические уязвимости (CVE-2014-9295), вызванные ошибками, приводящими к переполнению буфера в коде функций crypto_recv(), ctl_putdata() и configure(). Отправив специальным образом оформленный пакет, злоумышленник может инициировать отказ в обслуживании или организовать выполнение своего кода в системе с правами процесса ntpd, который обычно выполняется под пользователем ntp. В настоящее время обновлений пакетов с устранением проблемы не зафиксировано. Оценить появление обновлений в дистрибутивах можно на следующих страницах: openSUSE, SLES, Slackware, Gentoo, CentOS, RHEL 6, RHEL 7, Ubuntu, Debian, Fedora, FreeBSD, NetBSD. Читать далее В ntpd выявлена уязвимость, которая может привести к удалённому выполнению кода

В дополнение к уже присутствующей поддержке формата XML в состав системного менеджера Systemd добавлен код для разбора данных в формате JSON. Одной из областей применения JSON в Systemd является обеспечение в утилите systemd-import возможности импорта изолированных контейнеров из системы Docker. Читать далее В Systemd добавлен код для разбора формата JSON

Один из посетителей ресурса Phoronix решил проявить креативность и изложил дебаты по поводу выбора системы инициализации и голосования в списке рассылке Debian в формате квеста, имитирующего судебный процесс, в котором высказывания и мнения сторон отражают имевшую место переписку в списке рассылки Debian. На данный момент готово 4 «слушания». Готовится 5-й эпизод: Слушание 1 (investigation); Слушание 2 (opinion statements); Слушание 3 (opinion statements and policy); Слушание 4 (voting preparations, possibly voting itself); Примечание: сайт использует JavaScript и возможности HTML5. Корректная работа гарантируется в Firefox. Читать далее Квест с шутливым описанием процесса выбора системы инициализации в Debian

Представлена новая версия программы для управления коллекцией фотографий digiKam 4.6.0. В новом выпуске улучшена поддержка внешних накопителей, обеспечена возможность автоматического создания подкаталогов второго уровня при импорте, продолжена работа по переводу редактора на Qt4 model/view, в контекстное меню инструментов добавлена возможность сохранения и чтения рабочего окружения (Workflow). Всего по сравнению с прошлым выпуском внесено 30 исправлений. Во входящем в состав пакета наборе плагинов (Kipi-plugins) устранены 2 ошибки. Небольшое число изменений объясняется параллельно проводимой интенсивной работой по портированию digiKam на Qt 5 и KDE Framework 5. Читать далее Новая версия программы для управления фотографиями digiKam 4.6.0

Объявлено о начале альфа-тестирования дистрибутива Ubuntu 15.04 «Vivid Vervet». В соответствии с планом разработки, уже опробованном при подготовке прошлых выпусков, отдельные альфа-сборки не будут сформированы, вместо них для тестирования предлагается использовать ежедневные экспериментальные сборки. Готовые тестовые образы созданы только для Kubuntu, Lubuntu, Ubuntu GNOME и Ubuntu Cloud. Второй альфа-выпуск Ubuntu 15.04, запланированная на 22 января, бета-выпуск ожидается 26 февраля. Релиз намечен на 23 апреля. В альфа-выпуске осуществлена синхронизация новых версий пакетов из репозиториев Debian Unstable. Ядро Linux обновлено до версии 3.18. В версии 15.04 по-прежнему по умолчанию предлагается окружение Unity 7, а сборка с Unity 8 доступна в качестве опции. … Читать далее Первая альфа-версия Ubuntu 15.04

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, выпустила обновление прошивки 1.1.1.26, в рамках которого пользователям предлагается десятый значительный выпуск операционной системы Sailfish. Ключевые улучшения Sailfish 1.1.1.26: Реализован новый движок рендеринга, сокративший нагрузку на CPU и GPU; Для сокращения потребления памяти свёрнутые приложения теперь закрывают контекст OpenGL; Переписан код интеграции с Wayland, что позволило увеличить отзывчивость Android-приложений; Увеличена скорость загрузки адресной книги; Обеспечена динамическая выгрузка из памяти давно не используемого просмотрщика почтовых сообщений в формате HTML, а также кода набора номера, блокировки экрана, лент Facebook и Twitter; В ядре включена опция упаковки … Читать далее Новый выпуск мобильной ОС Sailfish

Опубликованы внеплановые корректирующие выпуски распределенной системы управления исходными текстами Git 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 и 2.2.1, в которых устранена критическая уязвимость (CVE-2014-9390), способная привести к выполнению кода при обращении к репозиторию, в который злоумышленником совершён специально оформленный коммит. Одновременно выпущено обновление MSysGit 1.9.5 (вариант Git для Windows), а также библиотек libgit2 0.21.3 и JGit 3.5.3.201412180710-r, которые подвержены уязвимости. Наличие уязвимости также подтверждено в системе управления версиями Mercurial (hg) и исправлено в выпуске 3.2.3. Проблема проявляется в Git, Mercurial и Git/Mercurial-совместимых клиентах только на платформах с файловыми системами, не различающими регистр символов или проводящими нормализацию регистра в именах файлов. В частности, … Читать далее В Git и Mercurial устранена критическая уязвимость, проявляющаяся в Windows и OS X

Испанская компания Bq Mobile наметила на вторую неделю февраля 2015 года выпуск первого смартфона, укомплектованного мобильной платформой Ubuntu Touch. Стало известно, что с Ubuntu будет поставляться вариант уже выпускаемой модели Aquaris e4.5, продаваемой по цене 160 евро. Смартфон укомплектован 4.5-дюймовым экраном (540×960), четырёх ядерным процессором MediaTek ARM Cortex A7 (1.3 GHz), графическим ускорителем Mali 400 GPU (500 MHz), 1Гб ОЗУ, 8GB eMMC-картой, Dual micro-SIM, аккумулятором 2150 mAh. Поставляемая в смартфоне версия Ubuntu будет отличаться наличием средств для продажи платного контента и использованием собственной умной области Aggregator Scopes. Читать далее Компания Bq Mobile наметила на февраль выпуск смартфона на базе Ubuntu

Организация The Document Foundation анонсировала корректирующий выпуск офисного пакета LibreOffice 4.3.5, в котором представлены только исправления 70 ошибок и обновления файлов с переводами. Выпуск 4.3.5 отмечен как пригодный для использования всеми категориями пользователей, в том числе готовый для применения в корпоративной среде. Установочные пакеты подготовлены для платформ Linux, Mac OS X и Windows. Также отмечается прогресс в устранении ошибок, выявленных в результате автоматизированного тестирования в системе Coverity: Читать далее Корректирующий выпуск офисного пакета LibreOffice 4.3.5

Компания Aspyr Media официально выпустила для платформы Linux нативную версию пошаговой стратегии «Civilization: Beyond Earth«. Выпуск для Linux был представлен всего спустя 2 месяца после поставки игры для платформы Windows и месяц после OS X. Загрузить игру можно через сервисы доставки игр GameAgent и Steam. До 20 декабря игра будет продаваться со скидкой 40%. Одновременно заявлено о предоставлении скидки в 76% для Linux-версии ранее выпущенной игры Civilization V. Читать далее Игра Civilization: Beyond Earth доступна для Linux